Ransomware

Eine Analyse der gezielten Ransomware WastedLocker

Hauptverdächtige des Ransomware-Angriffs auf Garmin wurde von unseren Experten einer detaillierten technischen Untersuchung unterzogen.

Kaspersky Team
3 Aug 2020

Ende Juli 2020 wimmelte es auf den IT-Nachrichtenwebsites von Berichten über Garmin. Verschiedene Dienste von Garmin, darunter auch die Synchronisierung von Geräten mit der Cloud und Tools für Piloten, wurden deaktiviert. Der Mangel an genauen Informationen seitens Garmin führte zu wilden Theorien. Wir unsererseits beschlossen, vor der Beurteilung der Situation auf einige konkrete Daten zu warten.

In einer offiziellen Stellungnahme bestätigte Garmin, dass das Unternehmen von einem Cyberangriff getroffen wurde, bei dem Online-Dienste unterbrochen und einige interne Systeme verschlüsselt wurden. Die zum Zeitpunkt verfügbaren Informationen deuten darauf hin, dass die Angreifer die WastedLocker-Ransomware verwendet haben. Unsere Experten führten daraufhin eine detaillierte technische Analyse der Malware durch. In diesem Beitrag erläutern wir die wichtigsten Ergebnisse.

WastedLocker Ransomware

Die WastedLocker-Ransomware ist ein Beispiel für gezielte Ransomware, d.h., es handelt sich hierbei um Malware, die so optimiert wurde, dass sie ein bestimmtes Unternehmen angreift. Die Nachricht der Ransomware bezog sich namentlich auf das Opfer, und alle verschlüsselten Dateien erhielten die zusätzliche Erweiterung. garminwasted.

Das kryptographische Schema der Cyberkriminellen weist auf die gleiche Schlussfolgerung hin. Die Dateien wurden mit den AES- und RSA-Algorithmen verschlüsselt, die Ransomware-Entwickler oft kombinieren. Zur Verschlüsselung der Dateien wird jedoch ein öffentlicher RSA-Schlüssel verwendet und nicht ein für jede Infektion eindeutig generierter Schlüssel. Mit anderen Worten, wenn diese Ransomware-Modifikation gegen mehrere Ziele verwendet würde, wäre das Datenentschlüsselungsprogramm universell einsetzbar, da es auch einen privaten Schlüssel geben müsste.

Darüber hinaus weist die Ransomware folgende kuriose Merkmale auf:

Sie priorisiert die Datenverschlüsselung, d.h. die Cyberkriminellen können ein bestimmtes Verzeichnis von Dateien angeben, die zuerst verschlüsselt werden sollen. Das maximiert den Schaden für den Fall, dass Sicherheitsmechanismen die Datenverschlüsselung stoppen, bevor sie abgeschlossen ist;
Sie unterstützt die Dateiverschlüsselung auf entfernten Netzwerkressourcen;
Sie überprüft Privilegien und Rechte und verwendet DLL-Hijacking zur Zugriffserweiterung

Eine detaillierte Analyse der Ransomware finden Sie im englischsprachigen Beitrag WastedLocker: technical analysis auf Securelist.

Wie steht es um Garmin?

Der aktualisierten Stellungnahme des Unternehmens zufolge sind die Dienste wieder einsatzbereit, auch wenn die Datensynchronisation möglicherweise langsam ist und in einigen Einzelfällen noch immer eingeschränkt ist. Das ist verständlich: Geräte, die mehrere Tage lang nicht mit ihren Cloud-Diensten synchronisiert werden konnten, kontaktieren nun alle Server des Unternehmens auf einmal, was die Belastung erhöht.

Garmin erklärt, dass es keine Beweise dafür gibt, dass sich jemand während des Vorfalls unbefugten Zugriff auf Benutzerdaten verschafft hat.

Wie man sich gegen solche Angriffe schützt

Gezielte Ransomware-Angriffe auf Unternehmen werden auch morgen noch existieren.

In Betracht dessen empfehlen wir folgende Schutzmaßnahmen:

Halten Sie die Software immer auf dem neuesten Stand, insbesondere das Betriebssystem, da die meisten Trojaner bekannte Schwachstellen ausnutzen.
Verwenden Sie RDP, um den öffentlichen Zugriff auf Unternehmenssysteme zu verweigern (oder verwenden Sie ggf. ein VPN).
Bringen Sie Mitarbeitern die Grundlagen der Cybersicherheit bei. Meistens ist es Social Engineering, dass Ransomware-Trojaner eindringen lässt und Unternehmensnetzwerke infiziert.
Verwenden Sie hochmoderne Sicherheitslösungen mit fortschrittlichen Anti-Ransomware-Technologien. Unsere Produkte erkennen WastedLocker und verhindern eine Infektion.

Speedrun-Weltrekord gesichert

Ein neuer Speedrun-Weltrekord wurde mit dem im Hintergrund aktiven Kaspersky Internet Security aufgestellt.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Eine Analyse der gezielten Ransomware WastedLocker

WastedLocker Ransomware

Wie steht es um Garmin?

Wie man sich gegen solche Angriffe schützt

Der MOVEit-Hack und seine Nachwirkungen

So waschen Kriminelle korrupte Kryptowährung

Speedrun-Weltrekord gesichert

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie